리눅스 랜섬웨어, 62% 증가…랜섬웨어 조직간 협업 ‘활발’
지속적인 위험 평가 포함한 제로 트러스트 전략 수행해야
[데이터넷] 올해 상반기 가장 많은 랜섬웨어 피해를 입은 산업은 9034건의 랜섬웨어 공격이 보고된 금융으로, 5073건이 보고된 리테일보다 1.7배 가까이 많은 피해를 입은 것으로 나타났다.
이는 트렌드마이크로의 ‘2023년 중기 사이버 보안 위협 보고서’에 따른 것으로, 이 기간 동안 가장 많은 공격을 받은 국가는 튀르키예(1만4209건), 대륙별로는 아시아(6만6282건)로 나타났다. 이 기간 동안 새로 발견된 랜섬웨어 패밀리가 14개, 상반기 동안 엔드포인트에서 탐지된 랜섬웨어는 9만945개였다.
특히 리눅스를 노리는 랜섬웨어가 올해 상반기에 전년동기대비 62% 증가해 리눅스 운영 환경도 지속적으로 위협 수준이 높아지고 있다. 로얄(Royal) 랜섬웨어가 리눅스 대상공격을 집중적으로 수행하고 있어 주의가 요구된다.
랜섬웨어 이용 주가조작 벌여
새로운 랜섬웨어 그룹 미믹(Mimic)과 로얄이 콘티 랜섬웨어 그룹과 연관있는 것으로 보이는데, 다른 조사에서는 블루스카이(BlueSky), 글로브임포스터(GlobeImposter) 등 다른 계열의 랜섬웨어와도 연결돼 있는 정황이 있어 랜섬웨어 조직들이 협업을 통해 범죄 활동의 효율성을 높이고 있는 것으로 보인다.
보고서에서는 랜섬웨어 공격자들이 효율적으로 데이터를 탈취하기 위해 도구와 기술을 지속적으로 업데이트하고 있으며, 데이터 액세스 권한을 얻고 데이터를 유출한 후에도 계속 공격하기 위해 공격 범위를 왼쪽으로 이동하고 있다고 설명한다. 또한 암호화폐 탈취, 비즈니스 이메일 침해(BEC), 주가조작 등으로 공격을 전환할 수 있다고 덧붙였다.
사이버 범죄 시장의 조직화는 앞으로 더 가속화될 것이며, 높은 수익을 얻을 수 있는 주요 인프라를 타깃으로 한 공격을 수행할 것으로 보인다. APT 그룹은 하이브리드 기술을 사용해 IT와 OT를 넘나드는 공격을 수행하며, 기존 보안 탐지를 우회하는 기상천외한 방법을 사용할 것이다.
이전에 볼 수 없는 멀웨어 조각을 활용하거나, 이미지 파일 실행 옵션을 이용해 보안 제품을비활성화하는 ‘스택 럼블링(stack rumbling)’ 기술도 등장했다. 문서에 포함된 구글 드라이브 링크로 멀웨어를 배포하고, 중요 시스템으로 침투해 고도의 사이버 스파이 활동도 벌이고 있다.
디지털 혁신으로 더 많은 피해 발생
AI를 이용해 돼지도살과 같은 지능적인 스캠 공격을 더 정교하게 진행할 수 있다. 공격자들은 딥페이크·딥보이스, SIM 재킹, 챗GPT, 소셜 네트워크 분석과 성향(SNAP) 모델링을 사용해 가장 수익성이 높은 대상을 식별하고 계획을 세운다. 이를 통해 더 많은 개인과 기업을 대상으로 공격을 수행할 것으로 예상된다.
디지털 트랜스포메이션과 클라우드 전환으로 공격표면이 넓어지면서 취약점도 크게 늘고 있다. 파일전송 서비스 무브잇, 비즈니스 커뮤니케이션 소프트웨어 3CX, 인쇄관리 소프트웨어 페이퍼컷 등이 공급망 취약점 악용 공격에 이용돼 전 세계 많은 조직이 피해를 입고 있다.
보고서는 ‘혁신’으로 인해 더 많은 피해가 발생하고 있다고 경고한다. 커넥티드카에는 1억줄 이상 코드가 포함돼 있는데, 이 코드에 취약점이 숨어있어 해커가 장악할 수 있다는 경고는 계속 나오고 있다. 혁신으로 인해 더 높아지는 공격 위협에 대응하기 위해 검색, 평가, 완화를 포함하는 전체 위험수명주기에 걸쳐 제로 트러스트 전략, 지속적인 가시성과 평가 요소를 운영하는 사전 사이버 위험 관리가 필요하다고 강조했다.
